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(g) Schaltungsanordnung und Verfahren zum Detektieren eines unerwunschten Angrlffs auf eine integrierte 

Schaltung 

@ Die Erfindung schlagt eine Schaltungsanordnung zum 
Detektieren eines unenA^unschten Angnffs auf eine inte- 
grierte Schaltung vor, wobei die Schaltungsanordnung 
eine Signalleitung, die mit einem Talctsignal beaufschlagt 
ist, wenigstens ein Leitungspaar, das jeweils zur Codie- 
rung eines Bits dient, aufweist, wobei die Signalleitung 
und das wenigstens eine Leitungspaar zwischen einem 
ersten und einen zweiten Schaltungsblock der integrier- 
ten Schaltung verschalten sind. Die Signalleitung und das 
wenigstens eine Leitungspaar sind mit einer Detektor- 
schaltung verbunden, die in Abhangigkeit der Signale der 
Signalleitung und des wenigstens einen Leitungspaares 
die integrierte Schaltung in ihrem Funktlbnsablauf an- 
dert. Die Detektorschaltung kann gleichermaSen zum Test 
auf Produktlonsfehler verwendet werden. 
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Beschreibung 



Die vorliegendc Erfindung betriffl eine Schaltungsanord- 
nung zum Delektieren eines unerwiinschten Angriffs auf 
eine integrierte Schaltung mit einer Signalleitung, die mil ei- 5 
nem Taktsignal beaufschlagt ist sowie mit wenigstens einem 
Leitungspaar, das jeweils zur Codierung eines Bits dient, 
wobei die Signalleitung und das wenigstens eine Leitungs- 
paar zwischen einein ersten und einem zweiten Schaltungs- 
block der integriertcn Schaltung vcrschaltcn sind. 10 

V^ele Schaltungen, die zum Beispicl in Mikroprozesso- 
ren. Security Token oder anderen Datenverarbeitungseinhei- 
ten eingesetzt werden, benotigen eine vor physikalischen 
Angriffen und vor Abhoren gesicherte Verarbeitung von Da- 
ten auf einem hohen Sicherheitsniveau. Ein derartiger An- 15 
griflf ist durch Analyse der integrierten Schaltung mittels 
"Reverse Engineering" moglich. Mittels dieser Analyse ist 
es moglich, sowohl die Funktionsweise der integrierten 
Schaltung zu analysieren als auch die Funktionsweise zum 
Zwccke einer Manipulation eines Dateninhaltes oder dcs 20 
Funktionsablaufes zu beeinflussen. 

In der Praxis existieren bereits verschiedene Verfahren. 
mit denen eine derartige Analyse zumindest erschwert wer- 
den kann. 

Zum Beispiel ist es bekannt, die integrierte Schaltung mit 25 
einem sogenannten "Shield" abzudecken. Ein Shield besteht 
dabei aus wenigstens zwei iiber der integrierten Schaltung - 
in der Regel maanderformig - verlaufenden Leiterbahnen. 
Eine Unterbrechung oder ein KurzschluB dieser Leiterbah- 
nen wird durch eine Auswerteschaltung detektiert, die dann 30 
die integrierte Schaltung in einen sicheren Zustand ver- 
bringt. Dies konnte beispielsweise das Auslosen eines Re- 
sets oder das Loschen von Speicherinhalten sein, 

Weiterhin sind Verfahren bekannt, mit dem die Entfer- 
nung eines aus Pressmasse bestehenden Kunststoffgehauses 35 
detektiert werden kann. Dabei wird die sich andemde Kapa- 
zitat zwischen zwei Leiterzugen beiin EnLfernen der Kunst- 
stofippressmasse detektiert. Zu diesem Zweck ist cine Mehr- 
zahl an Sensoren in dem Kunststoffpressmassengehause 
vorgesehen. 40 

Weiterhin gibt es Verfahren, die die Entfernung der Passi- 
vierungsschicht iiber die Chipoberflache detektieren. 

Um kryptoanalytische Angriffe abzuwehren, werden inte- 
grierte Schaltungen in sicherheitsrelevanten Einsatzgebieten 
oftmals in der als "Dual-Rail with Precharge" bekannten 45 
Schaltungslechnik realisiert. Ein Bit wird dabei mittels 
zweier komplementarer Leitungen codiert. In einer ersten 
Taktphase, der sogenannten "Precharge Phase" werden die 
beidcn komplementaren Leitungen vorgeladen (Logisch 1 
oder High), wodurch vorher gespeicherte Informationen ge- 50 
loscht werden. In der zweiten l^tphase, der sogenannten 
"Evaluation Phase" wird eine der beiden Leimngen entladen 
(Logisch 0 Oder Low) und in der nachsten Ibktflanke ausge- 
wertel. 

All die oben genannten Detektionsverfahren dienen dazu, 55 
einen Zugriff auf die Leiterziige der integrierten Schaltung 
zu verhindern. Sobald diese Hiirden ubersprungen sind, 
konncn die iiber die Leiterziige der integrierten Schaltung 
gesendeten Daten analysiert oder manipuliert werden. Letz- 
teres kann z. B. durch Aufpragen einer Spannung oder durch 60 
DurchUrennen von Leitungen geschehen. 

Die Aufgabe der vorliegenden Erfindung besteht deshalb 
darin, eine Schallungsanordnung sowie ein Verfahren zum 
Detektieren eines unerwunschten Angriffs auf eine inte- 
grierte Schaltung anzugcben, die einen verbcsserten Schutz 6S 
crmogiicht. 

Diese Aufgabe wird mit den Merkmalen des Patentan- 
spruches 1 , der die Schallungsanordnung wiedeigibt, sowie 



mit den Merkmalen des Paten tanspruches 4, in welchem das 
Verfahren wiedergegeben ist, gelost. Vorteilhafte Ausgestal- 
tungen ergeben sich aus den untergeordneten Anspruchen. 

Die integrierte Schaltung bedient sich dabei der oben ge- 
nannten "Dual-Rail with Precharge"-TechnoIogie, das heiBt 
zur Codierung eines Bits wird ein Leitungspaar verwendet. 
Die integrierte Schaltung kann dabei eine Vielzahl an Lei- 
tungspaaren aufweisen. Erfindungsgemafi ist voigesehen, 
daB eine Signalleitung, die mit einem Taktsignal beauf- 
schlagt ist, und das wenigstens eine Leitungspaar mit einer 
Detektorschaltung verbunden sind, die in Abhangigkcit der 
Signale der Signalleitung und des wenigstens einen Lei- 
tungspaares die integrierte Schaltung in ihrem Funktionsab- 
lauf andert. 

In einer Variante ist jede Leitung des wenigstens einen 
Leitungspaares direkt mit der Detektorschaltung verbunden. 
Altemativ konnen die Leitungspaare bei einem Multiplexer 
mit der Detektorschaltung verbunden sein. Die Signallei- 
tung, die mit einem Taktsignal beaufschlagt ist, ist in jeder 
der beiden Varianten mit der Detektorschaltung verbunden. 

Die erhndungsgemaBe Schallungsanordnung macht sich 
dabei den Umstand zu Nutze, dafi den giiltigen Zustanden 
bei der "Dual-Rail with Precharge"-Technologie den gulti- 
gen logischen Zustanden funf verbotene Zustande gegen- 
(iberstehen. Diese werden durch die Detektorschaltung er- 
mittelt, wodurch im Bedarfsfall der Funktionsablauf der in- 
tegrierten Schaltung geandert werden kann. 

Neben der Detektion von verbotenen Zustanden im Be- 
Uieb der geschutzten Schaltung, die auf einen physikali- 
schen Angriff (zum Beispiel mittels Nadeln, FIB "Focused 
Ion Beam", Licht-, Temperatur-, Spannungsmanipulation) 
hinweisen, kann die erfindungsgemaBe Schaitungsanord- 
nung bereits beim Produktionstest, das heiBt dem Seibsttest 
der Schaltung, aktiviert werden. Hierdurch konnen Produk- 
tionsfehler, zum Beispiel Stuck-At-One oder Stuck-At- 
Zero-Fehler, detektiert werden. Da bei der Produktion der 
integrierten Schaltung davon ausgegangen werden kann, 
daB keine Angriffe vorliegen, weisen ungiiltige Werte bei 
den Leitungspaaren auf eine Fchliiinktion, zum Beispiel ei- 
nen KurzschluB hin. 

Die erfindungsgemaBe Schaltungsanordnung ist vorteil- 
hafterweise auBerst einfach aufgebaut, da sie zusatzlich le- 
dighch eine Detektorschaltung benotigt, welche mit den 
Leitungspaaren und der Signalleitung, die mit einem Taktsi- 
gnal beaufschlagt ist. 

Die Funktionsweise der erfindungsgemaBen Schaltungs- 
anordnung wird aus dem nachfolgend beschriebenen Ver- 
fahren deutlich. 

Bei einem ersten Signalwert der Signalleitungen werden 
die zwei Leitungen eines Leitungspaares auf einen gleichen 
Signalpegel hin detektiert. Bei einem zweiten Signalwert 
der Signalleitung werden die zwei Leitungen eines Lei- 
tungspaares auf einen unterschiedlichen Signalpegel hin de- 
tektiert, wobei bei einer Abweichung von den erwarteten Er- 
gebnissen die integrierte Schaltung in ihrem Funktionsab- 
lauf geandert wird. 

Mit anderen Worten bedeutet dies, daB bei einem der fiinf 
verbotenen Zustande, die nachfolgend naher erlautert wer- 
den, ein Funktionsablauf der integrierten Schaltung herbei- 
gefiihrt wird. Das erfindungsgemaBe Verfahren bedient sich 
dabei der Uberwachung des Ladungszustandes (Signalpe- 
gel) der beiden Leitungen eines Leitungspaares, wobei die 
Uberpriifung der verbotenen Zustande mittels einer Zu- 
slands- oder Giiltigkeitstabelle dargestellt werden kann. Die 
schaltungstechnische Realisierung der Giiltigkeitstabelle 
stellt eine Standardaufgabe dar und wird hier deshalb nicht 
naher erlautert. 

Die Precharge-Phase kann prinzipiell wahlweise bei ei- 
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nem ersten Signal wert Logisch 0 oder Logisch 1 festgelegt 
werden. 

Vorteilhafterweise ist der erste Signalwert der Signallei- 
tung Logisch 0. In diesem Fall entspricht die Zustandsta- 
belle dem iiblichen Vorgehen bei der "Dual-Rail with Pre- 5 
charge "-Tec hnologie. 

Wahrend an der Signalleitung der erste Signalwert an- 
liegt, ist der Signalpegel der zwei Leitungen eines Leitungs- 
paares in einer Ausgestaltung jeweils Logisch 0 oder jeweils 
Logisch 1. Durch einen dieser beiden Zustandc wild somit 10 
ein gultiger "Prcchaige" festgelegt. Die jeweils drei andeicn 
verbleibenden ZustSnde definieren somit die verbotenen Zu- 
stande. 

Entsprechend ist der zweite Signalwert der Signalleitung 
Logisch 1 oder Logisch 0. Der zweite Signalwert ist somit 15 
grundsatzlich komplementar zu dem ersten Signalwert der 
Signalleitung. 

Wahrend der zweite Signalwert der Signalleitung anliegt, 
ist der Signalwert der ersten Leitung eines Leitungspaares 
Logisch 0 Oder 1, wahrend der Signalpegel der zweitcn Lei- 20 
tung Logisch 1 oder 0, also komplementar, ist. 
• Ein verbotener Zustand liegt folglich dann vor, wenn 
wahrend des zweitcn Signalwertes der Signalleitung an bei- 
den Leitungen eines Leitungspaares ein identischer Wert an- 
liegt. Insgesamt eigeben sich somit fiinf verbotene Zu- 25 
stande. 

Das erfindungsgemaBe Vorgehen wird anhand der nach- 
folgenden Figuren weiter erlautert. Es zeigen: 

Fig, 1 ein erstes Ausfuhrungsbeispiel der erfindungsge- 
mafien Schaltungsanordnung, 30 

Fig. 2 ein zweites Ausfuhrungsbeispiel der erfindungsge- 
maBen Schaltungsanordnung, 

Fig. 3 einen beispielhaften Signalverlauf der Signallei- 
tung sowie zweier Leitungspaare, und 

Fig, 4 bis 7 vier Zustandstabellen. 35 

Fig. 1 zeigt ein erstes Ausfuhrungsbeispiel der erfin- 
dungsgemaBen Schaltungsanordnung zumDetektieren eines 
unerwiinschten Angriffs auf eine integrierte Schaltung. Die 
integrierte Schaltung wird in der vorliegenden Fig. 1 bei- 
spielhaft durch die Schaltungsblocke A, B daigestellt, zwi- 40 
schen denen sich Leiterzuge 1 bis 5 befinden. Der Leiterzug 

I stellt dabei die Signalleitung "Clock" dar, die mit einem 
Taktsignal beaufschlagt ist. Weiterhin sind beispielhaft zwei * 
Leitungspaare Ll.l, L2.1 sowie Ll.n, L2.n daigestellt. Zwi- 
schen den Schaltungsblocken A, B konnen somit im vorlie- 45 
genden Beispiel zwei Bit iibertragen werden. Prinzipiell 
konnen natiirlich beliebig viele Leitungspaare zwischen den 
Schaltungsblocken A und B verschalten sein. 

ErfindungsgemaB ist zur Uberwachung der Leiterzuge 
eine Detektorschallung 11 vorgesehen, Jede der Signallei- 50 
tungen 1 bis 5, die zwischen den Schaltungsblocken A, B 
verschalten ist, ist mit der Detektorschaltung 11 verbunden. 
Dies wild durch die Leiterztige 6 bis 10 dargestellt. Im Falle 
eines verbotenen Zustandes kann die Detektorschaltung 11 
uber eine Leitung 12 einen Alarm auslosen, wodurch die in- 55 
tegrierte Schaltung beispielsweise neu gestartet werden 
kann oder sicherheitsrelevante Daten geloscht werden kon- 
nen. 

Weiterhin ist es denkbar, die Detektorschaltung 11 selek- 
tiv mittels einer Signalleitung 13 zu aktivieren oder zu.deak- 60 
tivieren. 

In dem ersten Ausfuhrungsbeispiel nach Fig. 1 ist jede 
der Signalleitungen 1 bis 5 direkt mit der Detektorschaltung 

II verbunden. In dem Ausfuhrungsbeispiel nach Fig. 2 isl 
Icdiglich die Signalleitung 1, an der das Taktsignal anliegt, 65 
iiber die Signalleitung 6 direkt mit der Detektorschaltung 11 
verbunden. Die leitungspaare Ll.l, L2.1 sowie Ll.n, L2.n 
sind hingegen iiber einen Multiplexer 14 mit der Detektor- 



schaltung 11 verbunden. 

Wahrend in der Fig. 1 eine tjberprufung aller Leitungs- 
paare gleichzeitig erfolgen kann, werden die Leitungspaare 
in der Fig. 2 nacheinander auf einen verbotenen Zustand bin 
iiberpruft. Da die Fun ktionsweise eines Multiplexers aus 
dem Stand der Technik hinlanglich bekannt ist, wird an die- 
ser Stelle auf eine ausftihrliche Beschreibung der Funkuons- 
weise verzichtet. 

Anhand der Zustandstabellen in den Fig. 4 bis 7 kann die 
Funktionsweise der erfindungsgemaBen Schaltungsanord- 
nung besser verstanden werden. In der ersten Spalte ist die 
Nummer eines moglichen Zustands gekennzeichnet. Die 
Spalten 2 bis 4 bezeichnen mogliche Zustande der Signallei- 
tung Clock sowie der zwei Leitungen eines Leitungspaares, 
die im vorliegenden Fall mit Ll.k, L2.k gekennzeichnet 
sind. Der Platzhalter k steht dabei stellvertretend fur Lei- 
tungspaare 1 bis n. In der letzten Spalte ist der logische 
Wert, der von der Detektorschaltung 11 iiberwacht wird, an- 
gegeben. 

Wahrend der ersten vier Zustande (Zustandsnunmier 1 bis 
4) befindet sich die Signalleitung Clock in der sogenannten 
Precharge-Phase. Wahrend dieser Phase miissen die La- 
dungszustande der zwei Leitungen eines Leitungspaares 
Ll.k, L2.k idendsche Werte aufweisen. In den Fig. 4 und 6 
ist dies der Fall, wenn Ll.k und L2.k den Wert Logisch 1 
aufweisen, wahrend dies in den Fig. 5 und 7 bei einem Wert 
von Logisch 0 der Fall ist. 

In der sogenannten "Evaluation Phase" (Zustandsnummer 
5 bis 8) durfen die Leitungen Ll.k, L2.k keinen identischen 
Ladungszustand aufweisen. In diesem Fall liegt ein Fehler 
oder ein AngrifiP vor. Wahlweise ist es moglich, der Zu- 
standsnummer 6 einen logischen Wert von 0 oder 1 zuzu- 
weisen. Dementsprechend betragt der logische Wert bei der 
Zustandsnununer 7 1 oder 0, das heiBt er ist komplementar 
zu dem logischen Wert der Zustandsnummer 6. 

Die Verwendung der in den Fig. 4 und 5 gezeigten Zu- 
standstabellen fiir das erfindungsgemaBe Detekdonsverfah- 
ren ist vorteilhaft, da die Prechaige Phase bei einem logi- 
schen Wert 0 der Signalleitung Clock durchgefiihrt wird. Al- 
temativ ist es naturlich auch denkbar, die Precharge Phase 
bei einem Wert Logisch 1 und die Evaluation Phase bei ei- 
nem Wert Logisch 0 durchzufuhren. Dies ist in den Zu- 
standstabellen 6 und 7 gezeigt. 

In Fig. 3 ist ein beispielhafter Signalverlauf der Signallei- 
tung "Clock" sowie zweier Leitungspaare Ll.l, L2.1 sowie 
Ll.n, L2.n dargestellt. Fiir die Uberpriifung, ob ein verbote- 
ner Zustand, zum Beispiel ein Fehler oder ein Angriff vor- 
liegt, miissen grundsatzlich die Signale der Signalleitung so- 
wie die Signale eines Leitungspaares miteinander veigli- 
chen werden. Der in der Fig, 3 gezeigte Signalverlauf wird 
nach der Zustandstabelle gemaB Fig. 4 ausgewertet. Somit 
liegt bei dem ersten Leitungspaar bereits wahrend des ersten 
Signalwertes der Signalleitung "Clock" fHy^phase To) ein 
Fehler vor, da die zweite Leitung L2. 1 wahrend der "Pre- 
charge Phase" keinen idendschen Signalwert annimmt. 
Wahrend der Taktphasen Ty, beziehungsweise T9 liegt wah- 
rend der "Evaluation Phase" jeweils ein Fehler vor, da dort 
die Signalzustande der beiden Leitungen des Leitungspaares 
1 einen identischen Ladungszustand aufweisen, was gemaB 
der Zustandstabelle nach Fig. 4 verboten ist. Ein weiterer 
Fehler findet sich wahrend der Taktphase T|o. 

Der Signalverlauf des n-ten Leitungspaares hingegen ist, 
wie ein Veigleich mit der Zustandstabelle gemaB Fig. 4 
zeigt, in Qrdnung. 

Patcntanspruchc 
1. Schaltungsanordnung zum Detektieren eines uner- 
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wiinschten Angriffs auf eine integrierte Schaltung (A, 
B) mil 

- einer Signalleitung (1), die mit einem Taktsi- 
gnai beaufschlagt ist, 

- wenigstens einem Leitungspaar (2, 3; 4, 5), das 5 
jeweils zur Ccdierung eines Bits dient, 

wobei die Signalleitung (1) und das wenigstens eine 
Leitungspaar (2, 3; 4, 5) zwischen einem ersten und 
zweiten Schaltungsblock (A, B) der integrierten Schal- 
tung verschalten sind, 10 
dadurch gekennzeichnet, dafi 
die Signalleitung (1) und das wenigstens eine Leitungs- 
paar (2, 3; 4, 5) mit einer Detektorschaltung (11) ver- 
bunden sind, die in Abh^gigkeit der Signale der Si- 
gnalleitung (1) und des wenigstens einen Leitungspaar is 
res (2, 3; 4, 5) die integrierte Schaltung in ihrem Funk- 
tionsablauf andert. 

2. Schaltungsanordnung nach Anspruch 1, dadurch 
gekennzeichnet, daB jede Leitung des wenigstens einen 
Leitungspaares (2, 3; 4, 5) direkt mit der Detektor- 20 
schaltung (11) verbunden ist. 

3. Schaltungsanordnung nach Anspruch 1, dadurch 
gekennzeichnet, daB die Leitungspaare (2, 3; 4, 5) uber 
einen Multiplexer mit der Detektorschaltung verbun- 
den sind. 25 

4. Verfahren zum Detektieren eines unerwiinschten 
Angriffs auf eine integrierte Schaltung, die zur Ober- 
tragung je eines Bits zwischen einem ersten und einem 
zweiten Schaltungsblock ein Leitungspaar (2, 3; 4, 5) 
aufweist und die eine Signalleitung (1), die mit einem 30 
Taktsignal beaufschlagt ist, aufweist, bei dem 

a) bei einem ersten Signalwert der Signalleitung 
(1) die zwei Leitungen eines Leitungspaares (2, 3; 
4, 5) auf einen gleichen Signalpegel hin detektiert 
werden, 35 

b) bei einem zweiten Signalwert der Signallei- 
tung (1) die zwei Leitungen eines Leitungspaares 
(2, 3; 4, 5) auf einen unterschiedlichen Signalpe- 
gel hin detektiert werden, 

wobei bei einer Abweichung von den in den Schritten 40 
a) und/oder b) erwarteten Eigebnissen die integrierte 
Schaltung ihrem Funktionsablauf geandert wird. 

5. Verfahren nach Anspruch 4, dadurch gekennzeich- 
net, dafi der erste Sign^wert der Signalleitung (1) Lo- 
gisch 0 Oder Logisch 1 ist. 45 

6. Verfahren nach Anspruch 5, dadurch gekennzeich- 
net, daB der Signalpegel der zwei Leitungen eines Lei- 
tungspaares (2, 3; 4, 5) jeweils Logisch 0 oder jeweils 
Logisch 1 ist. 

7. Verfahren nach einem der Anspriiche 4 bis 6, da- 50 
durch gekennzeichnet, daB der zweite Signalwert der 
Signalleitung (1) Logisch 1 oder Logisch 0 ist. 

8. Verfahren nach Anspruch 7, dadurch gekennzeich- 
net, dafi der Signalpegel der ersten Leitung eines Lei- 
tungspaares (2, 3; 4, 5) Logisch 0 oder 1 ist, wahrend 55 
der Signalpegel der zweiten Leitung Logisch 1 oder 0 
ist 
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